BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

BÀI TẬP LỚN

Tìm hiểu các giải pháp đảm bảo an toàn cho
mạng không dây và ứng dụng vào đảm bảo an
toàn cho mạng không dây thuộc cơ sở 1
Học phần: Phân tích thiết kế an toàn hệ thống
Sinh viên thực hiện:
Nguyễn Thị Huế

AT13CLC0109

Nguyễn Thị Kim Huế

AT13CLC0110

Giảng viên:
ThS. Cao Minh Tuấn
Khoa An toàn thông tin – Học viện kỹ thuật mật mã

Hà Nội, 2019

1


Nhận xét của giảng viên:
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………

…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………

…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………

2


MỤC LỤC

3


DANH SÁCH HÌNH ẢNH


LỜI NÓI ĐẦU
Trong những năm gần đây, giới công nghệ thông tin đã chứng kiến sự bùng nổ
của nền công nghiệp mạng không dây. Khả năng liên lạc không dây đã gần như tất
yếu trong các thiết bị cầm tay (PDA), máy tính xách tay, điện thoại di dộng và các
thiết bị số khác.
Với các tính năng ưu việt về vùng phục vụ kết nối linh động, khả năng triển khai
nhanh chóng, giá thành càng giảm, mạng không dây đã trở thành một trong những
giải pháp cạnh tranh có thể thay thế mạng Ethernet LAN truyền thống.
Tuy nhiên, sự tiện lợi của mạng không dây cũng đặt ra thử thách về bảo mật
đường truyền cho các nhà quản trị mạng. Ưu thế về sự tiện lợi của kết nối không dây

có thể bị giảm sút do những khó khăn này sinh trong bảo mật mạng. Sự mất an toàn
xuất phát từ nguyên nhân chính là những yếu tố vật lý, dữ liệu được truyền trong
mạng bằng sóng radio, kẻ tấn công có thể xâm nhập mạng ở bát kỳ đâu miễn là nằm
trong vùng phủ sóng của mạng. Mặc dù có rất nhiều cách và cũng có một số công cụ
tỏ ra hữu hiệu trong bảo mật cho mạng không dây cụ thể như với Wifi thì có WEP,
WAP, VPN,…Nhưng những điểm yếu vẫn bộc lộ mà với kĩ thuật tiên tiến hiện nay sẽ
không khó khăn dể bẻ khóa.
Xuất phát từ những lý do trên, chúng tôi đã tìm hiểu và nghiên cứu để thực hiện
đề tài “Tìm hiểu các giải pháp đảm bảo an toàn cho mạng không dây và ứng dụng
vào đảm bảo an toàn cho mạng không dây thuộc cơ sở 1” với mong muốn có thể tìm
hoặc đưa ra các giải pháp bảo mật an toàn và hiệu quả hơn.


Chương 1. Tổng quan về mạng không dây (Wireless)
1.1.

Khái niệm
Mạng không dây (wireless network) là mạng điện thoại hoặc mạng máy tính sử
dụng sóng radio làm sóng truyền dẫn, sử dụng các kết nối dữ liệu không dây giữa các
nút mạng. Mạng không dây được ưa thích bởi các hộ gia đình, các doanh nghiệp hay
các cơ sở kinh doanh vừa và lớn có nhu cầu kết nối internet nhưng không thông qua
quá nhiều cáp chuyển đổi. Các mạng không dây được quản lý bởi hệ thống truyền
thông vô tuyến của các nhà mạng. Những hệ thống này thường được đặt tập trung hoặc
rời rạc tại những cơ sở lưu trữ của các nhà mạng. Cấu trúc mạng thường được sử dụng
là cấu trúc OSI.

1.2.

Phân loại
– WPAN (Wireless Personal Area Network): là mạng được tạo bởi sự kết nối vô tuyến

trong tầm ngắn giữa các thiết bị ngoại vi như tai nghe, đồng hồ, máy in, bàn phím,
chuột, khóa USB...với máy tính cá nhân, điện thoại di động v.v. Sự kết nối vô tuyến
trong mạng WPAN có thể dùng các công nghệ như Bluetooth, Wibree, UWB...
– WLAN (Wireless Local Area Network): là mạng cục bộ (LAN) gồm các máy
tính liên lạc với nhau bằng sóng vô tuyến.
– WMAN (Wireless Metropolitan Area Network): Hệ thống mạng đô thi không dây
– WAN & WRAN: là mạng dữ liệu được thiết kế để kết nối giữa các mạng đô thị
(mạng MAN) giữa các khu vực địa lý cách xa nhau. Xét về quy mô địa lý, mạng
GAN (global area network) có quy mô lớn nhất, sau đó đến mạng WAN và mạng
LAN.

1.3.

Ưu điểm
– Sự tiện lợi: mạng không dây cung cấp giải pháp cho phép người sử dụng truy cập tài
nguyên trên mạng ở bất kì nơi đâu trong khu vực WLAN được triển khai (khách sạn,
trường học, thư viện…). Với sự bùng nổ của máy tính xách tay và các thiết bị di động
hỗ trợ wifi như hiện nay, điều đó thật sự rất tiện lợi.
– Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông di động, người
sử dụng có thể truy cập internet ở bất cứ đâu. Như: Quán café, thư viện, trường học và
thậm chí là ở các công viên hay vỉa hè. Người sử dụng đều có thể truy cập internet
miễn phí.
– Hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi
khác.
– Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta chỉ cần một
đường truyền ADSL và một AP là được một mạng WLAN đơn giản. Với việc sử dụng
cáp, sẽ rất tốn kém và khó khăn trong việc triển khai ở nhiều nơi trong tòa nhà.


– Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có sự gia tăng lớn

về số lượng người truy cập.
1.4.

Nhược điểm
Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì nó cũng
mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói chung.
– Bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng WLAN, bởi vì phương tiện
truyền tín hiệu là song và môi trường truyền tín hiệu là không khí nên khả năng một
mạng không dây bị tấn công là rất lớn
– Phạm vi: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện nay cũng chỉ có thể hoạt
động ở phạm vi tối đa là 150m, nên mạng không dây chỉ phù hợp cho một không gian
hẹp.
– Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị nhiễu, suy
giảm…là điều không thể tránh khỏi. Điều này gây ảnh hưởng đến hiệu quả hoạt động
của mạng.
– Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps nhưng vẫn
chậm hơn rất nhiều so với các mạng cáp thông thường (có thể lên đến hàng Gbps)

1.5.

Các tấn công vào WLAN
Tấn công bị động
– Không tác động trực tiếp vào thiết bị nào trên mạng
– Không làm cho các thiết bị mạng biết được hoạt động của nó
• Phát hiện mạng: Phát hiện Access Point, phát hiện máy trạm kết nối, phát hiện
địa chỉ MAC của các thiết bị tham gia, kênh….
• Nghe trộm: Chặn bắt lưu lượng, phân tích giao thức, nguồn và đích kết nối.
Tấn công chủ động
– Là hình thức tấn công tác động trực tiếp lên thông tin, dữ liệu của mạng như:
• Dò tìm mật khẩu AP : vét cạn (WPS - Wifi Protected Setup) , tấn công từ điển

• Giả mạo AP :
Kẻ tấn công có thể sao chép tất cả các thông tin về AP hợp pháp như địa
chỉ MAC, SSID, … để giả mạo AP hợp pháp
Gửi các gói beacon với địa chỉ vật lý (MAC) giả mạo và SSID giả để tạo
ra vô số AP giả mạo


• Tấn công người đứng giữa
• Từ chối dịch vụ: Kẻ tấn công gửi liên tục các frame hủy kết nối bằng cách giả
mạo đ/c MAC nguồn và đích của AP đến Client. Client nhận được frame này sẽ ngắt
kết nối.


Chương 2. Các giải pháp bảo mật mạng không dây
2.1. Các giải pháp bảo mật WLAN
Với các hình thức tấn công được nêu trên, hacker có thể lợi dụng bất cứ điểm yếu
và tấn công vào hệ thống WLAN bất cứ lúc nào. Vì vậy, đề ra các biện pháp bảo mật
WLAN là điều cấp thiết. Dưới đây là các biệt pháp bảo mật WLAN qua các thời kỳ.
Có một số biện pháp đã bị hacker qua mặt như mã hóa WEB…Bài viết sau Vietcntt.com sẽ trình bày các giải pháp bảo mật WLAN để biết rõ được ưu điểm, nhược
điểm của các giải pháp bảo mật. Từ đó lựa chọn các giải pháp bảo mật phù hợp với
từng mô hình của mạng WLAN
2.1.1. WEP
Wep (Wired Equivalen Privacy) có nghĩa là bảo mật không dây tương đương với
có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào
cùng một phương thức không an toàn. WEP sử dụng một khó mã hóa không thay đổi
có đọ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khóa
mã hóa, nên độ dài khóa chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các
thiết bị được phép truy cập vào trong mạng và cũng được sử dụng để mã hóa truyền
dữ liệu.
Rất đơn giản, các khóa mã hóa này dể dàng được “bẻ gãy” bởi thuật toán bruteforce và kiểu tấn công thử lỗi (tria-and-error). Các phần mềm miễn phí như Aircrackng, Airsnort, hoặc WEP crack sẽ cho phép hacker có thể phá vỡ khóa mã hóa nếu họ

thu thập từ 5 đén 10 triệu gói tin trên một mạng không dây. Với những khóa mã hóa
128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hóa nên chỉ có 104 bit được sử
dụng.
Dụng để mã hoá và cách thức cũng giống như mã hóa có độ dài 64 bit nên mã hoaí
128 bit cũng dẽ dàng bi bẻ khóa. Ngoài ra, những điểm yếu trong những vector khởi
tạo khóa mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông
tin hơn rất nhiều.
Không dự đoán được những lỗi trong khóa mã hóa. WEP có thể được tao ra cách
bảo mật mạnh mẽ hơn niếu sử dụng một giao thức xác thực mà cung cấp mỗi khóa
mã hóa mới cho mỗi phiên làm việt, khóa mã hóa sẽ thay đổi trên mỗi phiên làm việt.
Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dự liệu cần thiết để có
thể bẽ gãy khóa bảo mật.
2.1.2. WPA (WI-FI Protected access)
WEP được xây dựng để bảo vệ một mạng không dây tránh bị nghe trộm. Nhưng
nhanh chóng sau đó người ta phát hiện ra nhiều lỗ hổng công nghệ này. Do đó công
nghệ mới co tên gọi WPA (Wi-Fi Protected access) ra đời, khắc phục được nhiều
nhược điểm của WEP.
Trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khóa


TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hóa đầy đủ 128 bit.
Và một đặc điểm khác là WPA thay đổi khóa cho mỗi gói tin. Các công cụ thu thập
các gói tin để khóa phá mã hóa đều không thể thực hiện được với WPA. Bởi WPA
thay đổi khóa liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra
mật khẩu.
Không những thế WPA còn bao gồm cả tính toàn vẹn của thông tin (Message
Integrity check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường
truyền. WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều
sử dụng giáo thức TKIP, và sự khác biệt chỉ là khóa khởi tạo mã hóa lúc đầu. WPA
Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khóa khởi tạo sẽ được sử

dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh
nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khóa khởi tạo cho mỗi
phiên làm việc.
Lưu ý:
- Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng
hàm thay đổi khóa TKIP được sử dụng để tạo ra các khóa mã hóa chưa phát hiện, nếu
hacker có thể đoán được khóa khởi tạo hoặc một phần của mật khẩu, họ có thể xác định
được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. tuy nhiên, lố hỏng này cũng
sẽ được loại bỏ bằng cách sử dụng những khóa khởi tạo không dể đoán (đừng sử dụng
những từ như “P@SSWORD” để làm mật khẩu).
- Điều này cũng có nghĩa rằng thủ thuật TKIP của WPA chỉ là giải pháp tam thời, chưa
cung capas một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty
mà không truyền dữ liệu “mật” về những thương mại hay các thông tin nhạycảm…
WPA cũng thích hợp với những hoạt động hằng ngày và mang tính thử nghiệm công
nghệ.
2.1.3. WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng
nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hóa mạnh mẽ và được gọi
là Chuẩn mã hóa nâng cao AES. AES sử dụng thuật toán mã hóa đối xứng theo khối
Rijndael, sử dụng khối mã hó 128 bit, và 192 bit hoặc 256 bit. Để đánh giá chuẩn mã
hóa này, Việc nghiên cứu quốc gia về Chuẩn và Công nghệ của Mỹ, NIST (National
Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này.
Lưu ý: Chuẩn mã hóa này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ
các thông tin nhạy cảm.
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit
hoặc 168 bit DES (Digital Encryption standanrd). Để đảm bảo về mặt hiệu năng, quá
trình mã hóa cần thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy
nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này. Hơn nữa, hầu



hết các thiết bị cầm tay WI-FI và máy quét mã vạch đều không tương thích với chuẩn
802.11i.
2.1.4. WLAN VPN
Mạng riêng VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắng dữ
liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việt sử dụng
một cơ chế bảo mật như Ipsec ( internetProtocol Security). IPSec để mã hóa dự liệu
và dùng các thuật toán khác để các thực gói dự lieeuk Ípec cũng sử dụng thẻ xác nhận
số để xác nhận khóa mã (public key). Khi được sử dụng trên mạng WLAN, công kết
của VPN đảm nhận việt xác thực, đóng gói và mã hóa

Hình 2- 1. Mô hình WLAN VPN
2.1.5. TKIP (Temporal Key Integrity Protocol)
Là giải pháp của IEEE được phát triển năm 2004. Là một nâng cấp cho WED
nhằm và những vấn đề bảo mật trong cài đặt mã dòng RC4 trong WEP. TKIP dùng
hàm băm (hashing) IV để chống lại việc MIC (message integity check) đẻ đảm bảo
tính chính xác của gói tin TKIP và sử dụng khóa động bằng cách đặt cho mỗi frame
một chuỗi sống lại dạng tấn công giả mạo.
2.1.6. AES
Trong mật mã học AES (viết tắt của từ tiếng Anh: Advanced Encryption Stadar,
hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mà hóa khối được chính phủ Hoa
kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được
kì vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được
chấp nhận làm tiêu chuẩn lien bang bởi viện tiêu chuẩn và công nghệ quốc gia Hoa
kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.
Thuật toán được thiết kế bởi 2 nhà mật mã học người Bỉ: Joan Daemen và Vincent
Rijmen (lấy tên chung là Rijndael khi tham gia cuộc thi thiết kế AES).
2.1.7. 802.1X và EAP
802.1x là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định



nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây.
Việc điều khiển truy cập được thực hiện bằng cách: Khi một người dùng cố gắng kết
nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn
(bloking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.

Hình 2- 2. Mô hình hoạt động xác thực 802. 1
EAP là phương thức xác thực bao gồm yêu cầu định danh người dùng (password,
certificate,…), giao thức được sử dụng (MD5, TLI_Transport Layer Security,
OTP_One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.
Quá tình chứng thực 802.1x-EAP như sau:
Wireless client muốn lien kết với một AP trong mạng.
1. AP sẽ chặn lại tất cả các thông tin của client cho tới khi client log on vào mạng. Khi
đó client yêu cầu lien kết tới AP.
2. AP đáp lại yêu cầu liên kết với một yêu cầu nhận dạng EAP.
3. Client gửi đáp lại yêu cầu nhận dạng EAP cho AP.
4. Thông tin đáp lại yêu cầu nhận dạng EAP của client được chuyển tới Server chứng
thực.
5. Server chứng thực gửi một yêu cầu cho phép AP.
6. AP chuyển yêu cầu cho phép tới client.
7. Client gửi trả lời sự cấp phép EAP tới AP.
8. AP chuyển sự trả lời đó tới Server chứng thực.
9. Server chứng tực gửi một thông báo thành công EAP tới AP.
10. AP chuyển thông báo thành công tới client và đặt cổng của client trogn chế độ
forward.


2.1.8. Lọc (Filltering)
Lọc là cơ chế bảo mật cơ bản có thể sử dụng cùng với WEP. Lọc hoạt động giống
access list trên router, cấm những cái không mông muốn và cho phép những cái
mong muốn. Có 3 kiểu lọc cơ bản có thể sử dụng trong wireless LAN:

– Lọc SSID
– Lọc địa chỉ MAC
– Lọc giao thức
a) Lọc SSID
Lọc SSID là phương thức cơ bản của lọc và chỉ nên được sử dụng trong việc điều khiển
truy cập cơ bản.
SSID của client phải khớp với SSID của AP để có thể xác thực và kết nối với tập dịc
vụ. SSID được quảng bá mà không được mã hóa trong các Beocon nên rất dễ bị phát
hiện bằng cách sử dụng các phần mềm. Một số sai lầm mà người sử dung WLAN mắc
phải trong quản lí SSSID gồm:
Sử dụng giá trị SSID mặc định tạo điều kirnj cho hacker dò tìm địa chỉ MAC của AP.
Sử dụng SSID có liên qua đến công ty.
Sử dụng SSID như là phương thức bảo mật của công ty.
Quảng bá SSID một cách không cần thiết.
b) Lọc địa chỉ MAC
Hầu hết các AP đều có chức năng lọc địa chỉ MAC. Người quản trị xây dựng danh sách
các địa chỉ MAC được cho phép.
Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP
sẽ ngăn chặn không cho phép client đó kết nối vào mạng.
Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc
địa chỉ MAC thay vì AP. Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở
rộng cao.
c) Lọc giao thức
Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2
đến lớp 7. Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức trong môi
trường dùng chung,

Hình 2- 3. Tiến trình xác thực MAC



Có một nhóm cầu nối không dây được đặt trên một Remote building trong một mạng
WLAN của một trường đại học mà kết nối lại tới AP của tòa nhà kỹ thuật trung tâm.
Vì tất cả những người sử dụng trong Remote builing chia sẻ băng thông 5Mbs giữa
những tòa nhà này, nên một số lượng đáng kể các điểu khiển trên các sử dụng này phải
được thực hiện.
Nếu các kết nối này được cài đặt với mục đích đặc biệt của sự truy
nhập internet của người sử dụng, thì booj lọc giao thức sẽ loại trừ tất cả các giao thức,
ngoại trừ HTTP, SMTP, HTTPS, FTP…

Hình 2- 4. Lọc giao thức
2.1.9. Giải pháp quản lý tài nguyên và truy cập internet Captive Portal
Giải pháp quản lý tài nguyên và truy cập dựa trên kỹ thuật Captive Portal thường
được triển khai trong các mạng công cộng, việc kiểm soát truy cập được thực hiện
trên một cửa duy nhất, một số phần mềm phổ biến hiện nay về Captive Portal như:
PFSense, Amigopod and ArubaOS Integration, CentOS, Chillispot, ...


Hình 2- 5. Mô hình xác thực sử dụng Captiv
Captive portal là một giải pháp buộc người sử dụng trước khi truy cập và mạng phải chuyển
hướng tới một trang web đặc biệt. Kỹ thuật Captive portal biến web browser thành một công
cụ chứng thực hiệu quả. Việc này được thực hiện thông qua việc ngăn chặn tất cả các gói tin
(bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên
trang web mà hệ thống chuyển hướng đến
2.2.

Kết luận
Qua các hình thức tấn công cũng như các giải pháp bảo mật WLAN trên, người
thiết kế mạng cũng như bảo mật mạng phải nắm được cụ thể các hình thức tấn công
nào có thể xảy ra đối với mô hình mạng mình thiết kế. Từ đó có được các giải pháp
bảo mật phù hợp với từng mô hình. Đảm bảo tính bảo mật nhưng cũng đảm bảo tính

tiện dụng, không gây khó khăn cho người dùng. Sau đây là một số kiểu bảo mật áp
dụng cho các mô hình mạng khác nhau.
– Cho các điểm truy cập tự động (hotspots), việc mã hóa không cần thiết, chỉ cần người
dùng xác thực mà thôi.
– Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với
WPA passphare hay preshared key được khuyến cáo sử dụng.
– Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương
thức xác thực và TKIP hay AES làm phương thức mã hóa. Được dựa theo chuẩn WPA
hay WPA2 vf 802.11i security. Với các doanh nghiệp đòi hỏi bảo mật, quản lý người
dùng chặc chẽ và tập trung, một giải pháp tối ưu được đặt ra đó là sử dụng dịch vụ
chứng thực RADIUS kết hợp với WPA2. Với dịch vụ chứng thực này, người dùng
không dùng chung một “share key” mà có tên đăng nhập và mật khẩu riêng, được quản
lý bởi server AAA.


Chương 3. Khảo sát, phân tích và thiết kế mạng không dây cho học
viện.
3.1.

Khảo sát

Thực trạng :
- Hệ thống mạng không dây sử dụng cho các phòng ban trong Học viện cần được bảo
mật chặt chẽ vì đặc thù của ngành.
- Tốc độ mạng không dây của học viên liên tục gặp vấn đề. Tình trạng hao hụt băng
thông do các kết nối bên ngoài. Hệ thống cần nâng cao tính nội bộ.
- Việc quản trị hệ thống mạng không dây theo cách hiện tại đang rất khó khăn và
không hiệu quả.
- Nguy cơ bị thâm nhập từ bên ngoài là khá cao và có thể bị đánh cắp dữ liệu bí mật.
Mục tiêu: Thiết kế xây dựng hệ thống mạng máy tính an toàn dựa trên quy trình đã học.

Yêu cầu: Xây dựng mạng không dây cho trường Học viện Kỹ thuật Mật mã cơ sở 1.


Cơ sở 1: Gồm có các phòng ban tại học viện: hành chính, đào tạo, thư viện, các khoa, có các
phòng thực hành cho sinh viên, khu vực DMZ (hiện chưa triển khai dịch vụ gì)
3.2. Phân tích
3.2.1. Xác định các tài sản trên mạng
Tài sản trên mạng bao gồm:
Các thiết bị phần cứng như switch, router, dây cáp, các máy chủ máy trạm, hạ tầng mạng nói
chung.
Các phần mềm, các tệp tin, các dữ liệu của Học viện được lưu trữ trên các máy chủ.
3.2.2. Các loại rủi ro:
Các rủi ro có thể ảnh hưởng tới hệ thống mạng:
•

Các tấn công vào khu vực DMZ khi mà các vùng đó chạy dịch vụ: web, mail, DNS.

•

Các tấn công tới người dùng (Social engineering) trong mạng.

•

Tấn công vào mạng LAN của Học viện:

•

Tấn công nghe trộm trên đường truyền

•


Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng của các phòng, ban.

•
Tấn công bằng mã độc vào hệ thống mạng thông qua người dung hoặc các phương tiện
khác
•
Mạng chưa có hệ thống dự phòng, hệ thống cân bằng tải, vv.. do vậy tính sẵn sàng của
hệ thống còn nhiều điểm hạn chế.
•

Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,

•

Thiên tai, lũ lụt vv..

3.3. Thiết kế
3.3.1. Mô hình thiết kế chi tiết mạng không dây


Với phương án thiết kế, căn cứ trên các tiêu chí về ưu nhược điểm của từng phương án và hệ
thống mạng hữu tuyến có dây sẵn có, mô hình thiết kế vật lý chi tiết hệ thống mạng không
dây tại trường Học viện Kỹ thuật Mật mã cơ sở 1.
3.3.2. Thiết bị sử dụng trong mạng không dây
Thiết bị sử dụng trong hệ thống bao gồm các Access Point (AP) TP-Link
108Mbits 1 Port (TL-WA601G) của TP-Link, mỗi AP sẽ được trang bị 1 antenna ngoài để hỗ
trợ phủ sóng outdor ra bên ngoài khuôn viên. Và hệ thống sử dụng một Router Cisco RV130
dùng để định tuyến đường truyền sử dụng Internet.
3.3.2.1. Access Point

a. Thiết bị này hỗ trợ các cơ chế bảo mật như:
- Authentication Security Standards
- WPA
- WPA2 (802.11i)
- IEEE 802.11 WEP keys of 40 bits and 128 bits
b. Một số tính năng như sau:
- Khả năng kiểm tra chính sách bảo mật của WLAN.
- Khả năng quản lý tập chung tường minh về môi trường sóng.
- Hoạt động với tốc độ cao nhờ khả năng hội tụ tin cậy và băng thông được tối ưu.
- Các tính năng di động cung cấp khả năng truy cập liên tục cho người dùng di


chuyển.
- Khả năng mở rộng linh hoạch phù hợp với yêu cầu của khách hàng từ nhỏ đến lớn.
- Bảo vệ đầu tư, tiết kiệm chi phí vận hành nhờ mô hình và phương thức triển khai
đơn giản, dễ vận hành.
3.3.2.2. Router Cisco RV130
Tính năng và đặc điểm cuả Router Cisco RV130
•

Cổng Gigabit hiệu suất cao, cho phép truyền dung lượng lớn và thêm số người sử dụng

•

Cổng USB cho failover modem 3G / 4G

•
Tính năng bảo mật IPsec (IPsec) giữa các điểm đến trang web giúp cho phép kết nối an
toàn cho nhân viên và văn phòng
•


An ninh mạnh mẽ kiểm tra gói tin kiểm tra trạng thái (SPI) và mã hóa phần cứng

•

Cấu hình đơn giản và dễ dàng thiết lập

•

Khả năng kết nối chuyển mạch dự phòng 3G và 4G WAN

3.4. Phân bố thiết bị sử dụng trong hệ thống
a. Tại mạng trung tâm ở nhà điều hành:
- Sử dụng 1 thiết bị Router Cisco RV130 đặt tại phòng điều khiển.
b. Tại các tòa nhà khác:
Tổng cộng sẽ có 5 AP được phân bổ như sau:
- 01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Văn phòng.
- 01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Phòng thực hành.
- 01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Phòng hành chính.
- 01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Phòng đào tạo.
- 01 AP TP-Link 108Mbits 1 Port (TL-WA601G) đặt tại Thư viện.
Sự phân bổ này dựa trên các tính toán thiết kế tối ưu về tầm phủ sóng và nhu cầu
đặt ra tại trường Học viện Kỹ thuật Mật mã.
3.5. Tiến hành lắp đặt và kết quả
Hệ thống mạng Internet không dây hiện tại đang được sử dụng tại trường
Học viện Kỹ thuật Mật mã cơ sở 1 đang trong quá trình hoạt động thử nghiệm, nhưng trong
toàn bộ khu vực nhà trường các thiết bị hỗ trợ kết nối không dây đều có thể truy cập mạng
Internet bình thường và đây cũng là một tiền đề rất quan trọng để nhà trường đầu tư thêm. Hệ



thống Internet không dây hiện nay gồm có 05 AP và 1 Router phủ sóng trong toàn trường,
trong thời gian tới các thiết bị phục vụ cho việc bảo mật thông tin sẽ được nhà trường đầu tư
và triển khai.


KẾT LUẬN
Thông qua việc tìm hiểu về mạng không dây đặc biệt là mạng cục bộ không dây,
nhóm đã có được kiến thức về các chuẩn, các vấn đề bảo mật và các vấn đề triển khai
hệ thống mạng cục bộ không dây.Việc phát triển mạng không dây thật sự đem lại hiệu
quả với sự thuận lợi khi sử dụng các thiết bị có tính di dộng cao…
Với mạng WLAN, nhân viên làm việc có thể truy cập vào CSDL của mình tại văn
phòng hay bên ngoài và có thể liên tục sử dụng những thiết bị có kết nối vào Internet.
Việc sử dụng công nghệ mạng không dây, các tổ chức, cơ quan… Có thể tiết kiệm
được các chi phí thiết lập đường mạng trong tòa nhà và các chi phí bão dưỡng. Mạng
WLAN còn khả năng mở rộng và quản lý cao do mặc định dễ bổ sung các điểm truy
cập mạng mà không cần mất thêm chi phí đi dây hay đi lại dây thông thường…
Tuy nhiên, mạng WLAN cũng bộc lộ điểm hạn chế về việc bảo mật rất khó khăn
vì việc truyền tin đó chính là việc tín hiệu qua sóng radio nên bất kỳ ai nhằm vào
phạm vi phủ sóng. Ngoài ra mạng WLAN không có phạm vi giới hạn rõ ràng cho nên
rất khó quản lý.
Trong quá trình thực hiện đề tài, do hạn chế về kiến thức cũng như nhu cầu khảo
sát và phân thích để thiết kế mạng cho học viện còn hạn chế và cũng như kiến thức
còn thiếu nên không thể tránh khỏi có nhiều sai sót, kính mong sự đóng góp quý báu
cuả thầy giáo và các bạn.


TÀI LIỆU THAM KHẢO
[1] Sergey Poznyakoff, “Gnu Radius Reference Manual”, Published by Free Software
Foundation, 2003
[2] Ralph Droms, Ted Lemon, “The DHCP Handbook”, 2nd Edition, SAMS,

November 2002
[3] R. Droms, W. Arbaugh, “Authentication for DHCP Messages”, RFC 3118,
June 2001
[4] Chirag Sheth, Rajesh Thakker, “Performance Evaluation and Comparative Analysis
of Network Firewalls”, 2011 IEEE
[5] Christopher M. Buechler, Jim Pingle, “The Definitive Guide to the PFSense Open
Source Firewall and Router Distribution”, 2009
[6] Matt Williamson, “PFSense2 Cookbook”, 2011 Packt Publishing
[7] The FreeRADIUS Server Project and Contributors, 2014, />[8] Benny Czarny, “Network Access Control Technologies”, OPSWAT Inc,
/>gies.pdf
[9] Đinh Hồng Ngọc (2014), Nâng cao hiệu quả quản lý truy cập mạng cho hệ thống
firewall PFSense với tập người dùng động, Luận văn Thạc sĩ, Trường Đại học Công
nghệ, Đại học Quốc gia Hà Nội.

22